10 praktische Tipps für mehr IT-Sicherheit

Beim Thema Sicherheit gibt es nach wie vor viele Mythen. Doch Unternehmen sollten ihre Entscheidungen nur auf Basis harter Fakten treffen. Zum Beispiel zielen heute 72 Prozent der Angriffe auf Benutzeridentitäten und Anwendungen. Trotzdem werden nur 10 Prozent des IT-Sicherheitsbudgets für deren Schutz ausgegeben. Ebenfalls unterschätzt wird weiterhin die Gefahr durch interne Mitarbeiter. Laut Fortune würde jeder fünfte Arbeitnehmer seine persönlichen Firmenpasswörter verkaufen, davon fast die Hälfte für weniger als 1.000 Dollar.

Nur wenige Firmen sind ausreichend vorbereitet

Über 4 Millionen Datensätze werden täglich kompromittiert. Mehr als 2 Milliarden kompromittierter Accounts stehen online zum Kauf bereit. Vergangenes Jahr entdeckte Google jede Woche zwischen 9 und 49 Millionen Malware-Websites sowie 22 bis 54 Millionen Phishing-Websites. „Angesichts dieser Zahlen ist heute tatsächlich nicht mehr die Frage, ob ein Unternehmen angegriffen wird, sondern wann“, erklärt Andreas Riepen, Vice President DACH bei F5. „Doch nur wenige Firmen sind wirklich ausreichend auf den Fall der Fälle vorbereitet. So wurden alleine im vergangenen Jahr über 26,5 Millionen Websites gehackt. Ein umfassender Schutz durch eine integrierte Sicherheitsarchitektur ist aber kein Hexenwerk. Und selbst mit ein paar einfachen Tipps lässt sich in der Praxis schon viel erreichen.“

10 praktische Tipps erhöhen die Sicherheit

1. Verstehen Sie die Motive, Ziele und Taktiken der Hacker: Bei den meisten Hackern handelt es sich um Cyberkriminelle, die nur auf eines aus sind: Geld. Und obwohl sie in dem Ruf stehen, unaufhörlich die raffiniertesten Pläne zu schmieden, sind viele ihrer Methoden in Wahrheit ausgesprochen schlicht. Letzten Endes wählen sie immer den Weg des geringsten Widerstands und suchen sich leichten Ziele.
2. Passen Sie Ihr Budget an Ihre Bedrohungslandschaft an – und planen Sie auch eine Cyberversicherung ein: Planen Sie in Ihrem Budget unbedingt eine Cyberversicherung ein. Ein kleiner Betrag für das Vertrauen der Verbraucher wird Ihr Unternehmen kaum ruinieren, die durch einen Hackerangriff verursachte Datenschutzverletzung und die damit verbundenen Kosten möglicherweise schon.
3. Schulen Sie alle Mitarbeiter – von der Administration bis zum Verwaltungsrat: Bei der Sicherheit kommt es auf jeden Einzelnen an, und deshalb ist es wichtig, jeden Einzelnen zu sensibilisieren. Schulen Sie Ihre Nutzer mit Nachdruck, damit sie gezielte Phishing-Angriffe erkennen und abwehren können. Machen Sie ihnen klar, wie wichtig ein ordnungsgemäßes Passwortmanagement ist (und welche Gefahr ungeschützte Passwörter darstellen können), und stellen Sie ihnen Tools wie Password Safes zur Verfügung.
4. Kontrollieren Sie den Zugang ordnungsgemäß: Begrenzen Sie die Zahl der Benutzeridentitäten. Mehrstufige Authentifizierung (MFA) für den Zugriff auf Ihr Netzwerk und seine Anwendungen kann die Gefahr von Angriffen auf Identitäten mindern. Verwenden Sie keine unsicheren oder vorgegebenen Benutzername/Passwort-Kombinationen. Hash-Passwörter bieten praktisch überhaupt keinen Schutz. Denken Sie daran, dass Zugang ein Privileg ist.
5. Managen Sie Ihre Schwachstellen: Verwenden Sie für jedes Netzwerk, jedes System und jeden Softwaretyp eine Scanning-Lösung. Priorisieren Sie das Schwachstellenmanagement für Webanwendungen. Automatisieren Sie das Schwachstellenmanagement für Webanwendungen. Patchen Sie alle Geräte – Desktops, Laptops, Server usw. – monatlich, insbesondere wenn Sie Windows nutzen.
6. Sorgen Sie stets für die nötige Transparenz, insbesondere bei Ihren kritischen Daten, denn was Sie nicht sehen, können Sie nicht schützen: Intrusion Detection/Prevention-Systeme (IDS/IPS), Security Information Event Manager (SIEM), Data Loss Prevention (DLP) und andere Systeme müssen ordnungsgemäß aufgebaut, implementiert und laufend gemanagt werden.
7. Engagieren Sie einen Hacker und/oder richten Sie ein Bug-Bounty-Programm ein Wenn ein erfolgreicher Angriff auf eine bestimmte Anwendung Ihrem Unternehmen erheblichen Schaden zufügen könnte, lohnt es sich, einen Techniker zu beauftragen, der diese zu hacken versucht.
8. Nutzen Sie Experten, insbesondere in den Bereichen Compliance und Incident Response: Security-as-a-Service ist eine großartige Option für das effektive Management von Hochrisikokontrollen, die eine schnelle 24×7-Reaktion kompetenter Techniker erfordern.
9. Verfolgen Sie eine DDoS-Strategie: Mittlerweile kann praktisch jeder ohne großen Aufwand IoT-Botnets aufbauen, mit deren Hilfe sich Angriffe in der Größenordnung von einigen Terabyte pro Sekunde durchführen lassen. Wenn Sie noch keinen Plan zur Bekämpfung von DdoS-Angriffen haben, sollten Sie rasch einen entwickeln.
10. Kommunizieren Sie die Wahrscheinlichkeit und Auswirkungen eines Angriffs: Informieren Sie Ihren Vorstand, den Prüfungsausschuss und die Geschäftsleitung über mögliche Angriffe und ihre Folgen. Auf gar keinen Fall sollten Sie sie irgendwann mit einer völlig unerwarteten Sicherheitsverletzung überraschen.

Wem 10 praktische Tipps noch nicht genügen, kann weitere Informationen einem Whitepaper von F5 Networks entnehmen. Dieses Whitepaper mit detaillierten Angaben zu den aktuellen Daten und der Bedrohungslage lässt sich unter https://interact.f5.com/ThreatLandscapeReportDE.html herunterladen.